数字化时代下的网络安全战略框架系列之二 如何发现要保护的皇冠明珠(核心数字化资产) 数字化时代下的网络安全挑战 面对来势汹汹的数字化变革,企业越来越依赖复杂的技术生态系 统来实现多个重要目标,以新的方式与客户和第三方进行交互, 使用数据来改善决策,并提高覆盖面和盈利能力。 随着网络攻击变得日益频繁和严重,董事会成员和高管们都认识 到基于信息技术和数字化的行为活动也带来了一定的网络风险。 我们的服务能帮助企业建立战略方针和相应架构,并开发有效的 网络风险报告机制。 这些服务支持制定由高管主导的网络风险计 划,将客户的风险偏好纳入考虑范围,帮助企业识别和了解他们 主要的业务风险和网络风险。 CSF: 一个全面的网络安全战略框架 德勤网络安全战略框架(CSF)是一种以业务为导向、基于威胁 管理网络安全战略的平台。 CSF是德勤在网络安全战略方面进行 了四年多的研究和投资的结果,并且采用了成熟的方法来确定企 业网络安全的当前能力和目标成熟度,并提出了改进企业内部和 整体网络安全弹性的建议。 我们会利用网络安全战略框架平台,通过动态工作流程和实施我 们的方法来支持我们的评估。我们的平台使我们能够捕捉,分析 和管理关于组织业务环境,业务模式和策略,威胁行为者和技术 以及组织网络能力的当前和目标成熟度的信息。我们的平台还使 我们能够定义具体的建议,项目和路线图,以提高特定功能的成 熟度,并提高组织的整体网络弹性。 如何发现要保护的皇冠明珠 对于企业而言,需要识别哪些是支持我们的企业战略和商业模式 的关键业务资产?都有哪些场景对这些资产存在威胁?哪些威胁 源和技术会对我们的重要资产产生负面影响?我们的每件重要资 产在特定威胁下的暴露程度如何? CSF从业人员利用经过验证的方法来了解您的业务概况,并明确 企业内的重要资产。使用包含威胁行为和技术的综合列表的德勤 威胁模型,根据暴露情况识别并记录对组织及其重要资产的威 胁。这样的工作具体来说,包括以下两个阶段的分析活动: 业务分析阶段 了解企业目前的使命,战略和商业模式,以确定组织的重要资 产,具体包括 了解业务背景,业务模式和战略 确定重要资产,并建立保密性、完整性和可用性要求 确定组织风险偏好/容忍度 此阶段主要成果是获得重要资产的分布以及其保密性、完整性和 可用性综合分析结果。 1/3 威胁评估阶段 了解重要资产之后,识别其网络能力最容易受到的威胁,包括: 识别相关的威胁行为者和常用攻击手段和技术 根据威胁行为者,使用的技术和目标(重要资产)的组合 来确定具体的威胁情景 此阶段主要成果是获得具有固有风险评分的威胁场景列表。 案例分析 某企业需要了解企业当前的安全能力是否能为业务提供足够的保 障,以及高额的网络安全投资是否真的在企业日常运作时发挥高 效的防护作用,高管们对于网络安全能力的评估和投资变现能力 有着很大的困惑:什么样的方法论可以全面识别企业重要且敏感 的信息资产,并且同时能考虑企业的风险偏好,根据常见威胁攻击 者类型和常用手段,提供精确的数据收集与分析功能,使得网络 安全工作有了可识别性和针对性,企业管理层可以随时知晓和掌 握我们的网络安全有能力保护企业的每一项重要资产。传统的评 估项目可能需要很大的人力物力,当下的业务和技术每天都在产 生着大量的数据,手工处理避免不了计算及统计失误,并且最终 的结果可能需要阅读大量的文字,而不是直观的、可视化数据图 形。 这时,CIO想起了前段时间公司举行的关于“数字化网络安全战 略框架”宣讲会,其中介绍的CSF网络安全战略框架正好可以解 决正在面临的困境:CSF平台有着成熟的资产识别和评估模型, 使企业全面了解目前资产管理的风险漏洞。另外后续的系统自动 化评分功能,也正好解决了要处理大量数据的问题,大大提高了 工作效率与准确度。 比如:可以利用报表试图,综合性地得出哪些攻击者类型利用哪 类攻击手段会造成对企业的威胁,以及其影响程度。 甚至可以得到针对企业内不同的信息资产对象,受到外部不同攻 击者和攻击手段下所能造成的风险影响视图。 2/3 更重要的是,CSF平台还提供了网络安全风险复检功能:在得到 当年信息资产的威胁评估后,客户可以就风险较大的领域进行改 进,并在来年,对于相同的领域重新检测分析,两次评估进行对 比,可以得出企业网络安全风险的发展变化,以验证企业在网络 安全领域取得显著进步,使得管理层对网络安全建设工作更有信 心。 结语 数字化时代下,每个企业都在享受数字化技术给企业带来的便 利,但与此同时,企业也必须要预见到数字化进程下潜在的网络 安全固有威胁。为了在激烈的竞争环境下存活,每家公司都应该 找到目前形势下,企业最重要敏感、最需要保护的信息资产是什 么,针对这些资产的载体和在企业内外的流转途径是什么,有什 么样的威胁和常用攻击手段,会产生什么样的风险,该如何防 护,都是企业面临并要解答的关键问题,要全面、可靠地保护好 企业核心信息资产是非常困难的。 CSF可以为企业提供最好的并且可定制化的服务,以满足其特定 需求。它也是一种独特的解决方案,可以满足每个内部或外部投 资利益相关方的需求。 3/3
德勤中国 数字化时代下的网络安全战略框架系列之二
文档预览
中文文档
3 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共3页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-10-21 10:40:35上传分享